Une faille de sécurité pour Mozilla découverte
Si Internet Explorer est connu pour ses failles de sécurité, il n'en détient pas le monopole : ainsi une faille de sécurité assez grave a été découverte sur les logiciels Mozilla, dont le célèbre Firefox : un individu peut ainsi créer une fausse page web affichant une adresse dans la barre d'url qui ne correspond pas à celle du site visité. Cela pourrait donc être utilisé à des fins frauduleuses afin de soustraire des numéros de CB, en simulant le site d'un marchand en ligne bien connu, ou plus simplement le site de votre banque.
La faille est d'autant plus importante qu'aucune solution ne semble possible : c'est en fait XUL, le langage de conception de l'interface, qui pose problème. Effectivement il suffit de créer un programme codé en XUL qui créé ce que l'on pense être une fenêtre de navigateur pour pouvoir piéger l'internaute. Pire, il est possible avec cette méthode de créer de faux certificats de sécurité. Si vous surfez sur Firefox 0.9, vous pouvez voir une démonstration de cette faille à cette adresse. Pour les autres, vous trouverez des captures d'écran sur cette page.
La faille est d'autant plus importante qu'aucune solution ne semble possible : c'est en fait XUL, le langage de conception de l'interface, qui pose problème. Effectivement il suffit de créer un programme codé en XUL qui créé ce que l'on pense être une fenêtre de navigateur pour pouvoir piéger l'internaute. Pire, il est possible avec cette méthode de créer de faux certificats de sécurité. Si vous surfez sur Firefox 0.9, vous pouvez voir une démonstration de cette faille à cette adresse. Pour les autres, vous trouverez des captures d'écran sur cette page.
113
Commentaires
Un comparatif entre GeForce 6800 GT/Ultra/5950 Ultra
- Musique en ligne : Harmony créé la polémique
- Intel repousse la sortie du Pentium 4 à 4GHz
- Un nouvel outil pour Microsoft Office
- Nouvelle version du Framework Metasploit
- Manhunt retiré de la vente
- Trop vieux pour Google ?
- Yahoo ! Mail donne 1 Gb aux chinois
- Radeon 9250
- Top 10 des virus pour le 1er semestre 2004
Carrefour propose un PC tournant sous Linux
- Un nouveau logiciel de recherche chez Microsoft
- Free : Résultats en hausse, service en baisse ?
- GeForce 6800 FanLess
- Encore deux nouveaux outils pour Office... disponibles !
- ZealMail: 3 gigas de stockage !
- Guide Hardware pour Doom 3
- Les patcheurs de plus en plus rapides
- Pilotes Catalyst 4.7 pour Windows 98/Me
- Les partisans de Linspire se vengent...
Liens commerciaux
Publicité
Attention, ça va troller grave !!![[:popolle]](http://img.infos-du-net.com/forum/images/perso/popolle.gif)
![[:lionheartxp]](http://img.infos-du-net.com/forum/images/perso/lionheartxp.gif)
Est-il, malgré tout, permis de "sourire" ??
m'en fout j'achete pas sur le net.
m'en fout j'achete pas sur le net.
+1
Ha ouais, cette faille est plutôt impressionante
Pour voir si on est sur un bon site il faut tester les menus pour voir s'il réagissent
Ca fait combien de temps que cette faille est exploitables ?
metos, Max2000 > ceux qui achètent par le web et, pour l'exemple ici, par Paypal ne s'en foutent pas
ca fait lgtps qu'elle est connue la faille nan? ou alors yavait la même sous IE?
pkoi pas demander l'execution des xul quand on va sur une page? Même si c'est inoffensif par rapport aux activex, certaines fonctions peuvent être utilisées pour tromper l'utilisateur, ce qui est je pense une raison valable de le prévenir...
thestonemarten> longtemps qu'elle est connue je ne sais pas, par contre elle doit etre possible depuis un certain temps deja etant donne que l'interface de FireFox est, depuis le debut, basee sur XUL (et meme pour mozilla non ?????
)
la faille viens du XUL qui n'es pas inteprété par IE... c'est comme si on disait "un nouveau vius en VB viens de sortir exploitant une faille de Windows" et que tu demande si y'a la meme faille sur Linux....
La faille est du 25/07, mais ce type de vulnérabilité (enfin leur découverte) est fréquente en ce moment
Au temps pour moi il s'agit d'une nouvelle
ca fait lgtps qu'elle est connue la faille nan? ou alors yavait la même sous IE?
non sous IE un site pouvait "spoofer" l'url affichée dans la bare de navigation ce qui pouvais te faire penser que tu es sur un site alors que tu es sur un autre.
par contre je ne sais pas si la faille allais jusqu'a pouvoir falsifier les certif de securités etc etc..
bref une faille a corriger rapidement
RoMiX> bah avec un ActiveX ca devait bien etre possible aussi, non ?
je me gosse
RoMiX> bah avec un ActiveX ca devait bien etre possible aussi, non ?
te dire ce qu'il est possible de faire ou non avec un activx depasse mes connaissances désolé, par contre il me semble qu'IE demande ta permission avant d'executer un activx alors que mozz/fire ne demande rien avant d'executer un XUL.
Dans Mozilla 1.7 j'ai ça :
XML Parsing Error: undefined entity
Location: http://www.nd.edu/~jsmith30/xul/test/browser2.xul
Line Number 20, Column 1:
edit: ha ouais c'est prévu que pour Firefox, j'avais pas lu assez attentivement
je me gosse
c'est "je me gausse"
ouppss pardon
non sous IE un site pouvait "spoofer" l'url affichée dans la bare de navigation ce qui pouvais te faire penser que tu es sur un site alors que tu es sur un autre.
par contre je ne sais pas si la faille allais jusqu'a pouvoir falsifier les certif de securités etc etc..
bref une faille a corriger rapidement
ouaip ca devait etre ca, juste au niveau de l'affichage de l'url
la faille viens du XUL qui n'es pas inteprété par IE... c'est comme si on disait "un nouveau vius en VB viens de sortir exploitant une faille de Windows" et que tu demande si y'a la meme faille sur Linux....
oui mais on peut tomber en panne sèche, qu'on carbure au gasoil ou au super
javais déjà vu cette faille kkpart, ct un truc ressemblant et effectivement sous IE, comme vient de me le rappeler romix ^^
je me gosse
je me gausse !
edit : grilled
Quoi qu'il en soit, cela va être un bon test en terme de réactivité des différentes équipes qui s'occupent des différents browsers pour voir à quelle vitesse ils corrigent un bug aussi important.
MS a mis plusieurs mois pour corriger une faille similaire (spoofing par la simple url).
Opera a mis moins d'une semaine pour corriger 2 failles similaire (spoofing par JS) et une 3ème a été détectée il y a 3 jours (technique JS toujours).
Mozilla Firefox connait cette faille depuis le 25/07.
On verra si ces derniers mettent un délais raisonnable pour corriger ces bugs.
il existe une parade assez simple : avoir une barre personalisée
exemple en image...
sur ma barre à moi, l'edit box de google est remplacée par un bouton permettant d'ouvrir la fenetre des telechargements...
de plus, les favoris n'apparaissent pas
suffit d'etre un pe attentif a son interface quand on rentre des données confidentiels
Si Internet Explorer est connu pour ses failles de sécurité, il n'en détient pas le monopole : ainsi une faille de sécurité assez grave a été découverte sur les logiciels Mozilla, dont le célèbre Firefox : un individu peut ainsi créer une fausse page web affichant une adresse dans la barre d'url qui ne correspond pas à celle du site visité. Cela pourrait donc être utilisé à des fins frauduleuses afin de soustraire des numéros de CB, en simulant le site d'un marchand en ligne bien connu, ou plus simplement le site de votre banque.
La faille est d'autant plus importante qu'aucune solution ne semble possible : c'est en fait XUL, le langage de conception de l'interface, qui pose problème. Effectivement il suffit de créer un programme codé en XUL qui créé ce que l'on pense être une fenêtre de navigateur pour pouvoir piéger l'internaute. Pire, il est possible avec cette méthode de créer de faux certificats de sécurité. Si vous surfez sur Firefox 0.9, vous pouvez voir une démonstration de cette faille à cette adresse. Pour les autres, vous trouverez des captures d'écran sur cette page.
Avec Mozilla 1.7 version "Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.7) Gecko/20040616" (patché pour le dernier bug), ce "bug" est totalement inactif. Cela ne fait que confirmer la piètre opinion que j'ai de Firefox face à son grand frère ...
[citation=139161,0,12]
par contre je ne sais pas si la faille allais jusqu'a pouvoir falsifier les certif de securités etc etc..
[/citation]
Il est totalement impossible de falisifier ça. Pour contre, le truc affiche l'icone disant que tu es en connection sécurisé.
C'est juste une fausse interface qui imite celle de firefox (ou mozilla ou n'importe quelle appli utilisant du XUL).
Mouais, cette "faille" est surtout basée sur la naïveté dens utilisateurs.
quand on doit effectuer une opération sensible (entrée ses coordonnées, sont numéro de carte de crédit...), il doit toujours y avoir le petit cadena, sinon, ça veut dire que le site n'est pas fiable.
edit : moi je n'ai pas l cadena, mais il semblerait qu'il s'affiche chez certains.
Mouais, cette "faille" est surtout basée sur la naïveté dens utilisateurs.
quand on doit effectuer une opération sensible (entrée ses coordonnées, sont numéro de carte de crédit...), il doit toujours y avoir le petit cadena, sinon, ça veut dire que le site n'est pas fiable.
D'ou le prob si on peut afficher un cadenas alors que c est pas en https.
Il y a quand même plusieurs petites choses qui mettent la pucs à l'oreille :
- lien javascript
- la fenêtre ne peut pas être maximisée car c'est un popup
cela ne marche pas si :
- TBE est installé
- cacher les barres avec javascript est désactivé
- si la barre est personalisée
- si votre FF est une version inférieure à 0.9
Ca fait quand même beaucoup de conditions pour que la faille fonctionne !
quezako > la faille "fonctionne" avec FireFox 0.9.2
ouin, bon heuresement que jutilise a moitié safari et FireFox…
Il y a quand même plusieurs petites choses qui mettent la pucs à l'oreille :
- lien javascript
- la fenêtre ne peut pas être maximisée car c'est un popup
cela ne marche pas si :
- TBE est installé
- cacher les barres avec javascript est désactivé
- si la barre est personalisée
- si votre FF est une version inférieure à 0.9
Ca fait quand même beaucoup de conditions pour que la faille fonctionne !
Je vois rarement de telles analyses pour une faille IE.
En général, le commentaire c'est : "Lâchez cette m**** pleine de failles et passez à Mozilla/FireFox"
2 poids, 2 mesures...